4.4 Campos do Evento

Cada evento tem campos que podem ou não ser preenchidos, dependendo do evento específico. Os valores desses campos de eventos podem ser vistos usando uma pesquisa ou executando um relatório. Cada campo tem um nome abreviado que é usado em pesquisas avançadas. Os valores para a maioria desses campos são visíveis na tela detalhada de eventos; outros valores também são visíveis na tela básica de eventos.

Tabela 4-1 Campos do Evento

Campo

Nome abreviado

Descrição

Visíveis na Tela Básica

Visíveis na Tela Detalhes

Gravidade

sev

Gravidade do evento em uma escala de 0 (informativo) a 5 (crítico)

X

X

EventTime

dt

Marcação de horário de evento. Pode ser a marcação de horário do servidor do Identity Audit ou da origem do evento original (se “confiar no horário do evento” estiver habilitada)

X

X

EventName

evt

Nome reduzido do evento

X

X

Mensagem

msg

Mensagem detalhada do evento

 

X

ProductName

pn

Produto que gerou o evento; a fonte de eventos.

Exibido após o nome do evento.

X

X

InitUserName

sun

Nome de usuário do usuário que iniciou o evento

X

X

InitUserID

iuid

ID de usuário do usuário que iniciou o evento

 

X

InitUserDomain

rv35

Domínio do usuário que iniciou o evento

Pode ser pesquisado, mas não é exibido na tela do evento

InitHostName

shn

Nome de host do computador em que o evento foi iniciado

X

X

InitHostDomain

rv42

Domínio do computador em que o evento foi iniciado

X

X

InitIP

sip

Endereço IP do computador em que o evento foi iniciado

 

X

InitServicePort

spint

Número da porta na qual o evento foi iniciado (por exemplo, HTTP)

 

X

InitServicePortName

sp

Tipo de porta na qual o evento foi iniciado (por exemplo, HTTP)

 

X

TargetUserName

dun

Nome de usuário do usuário que era o destino do evento

X

X

TargetUserID

tuid

ID de usuário do usuário que era o destino do evento

 

X

TargetUserDomain

rv35

Domínio do usuário que era o destino do evento

Pode ser pesquisado, mas não é exibido na tela do evento

 

X

TargetHostName

dhn

Nome de host do computador que era o destino do evento

X

X

TargetHostDomain

rv45

Domínio do computador que era o destino do evento

X

X

TargetIP

dip

Endereço IP do computador que era o destino do evento

 

X

TargetServicePort

dpint

Número da porta que era o destino do evento (por exemplo, 80)

 

X

TargetServicePortName

dp

Tipo de porta que era o destino do evento (por exemplo, HTTP)

 

X

TargetTrustName

ttn

Função do usuário que era um destino do evento (por exemplo, FinanceAdmin)

Pode ser pesquisado, mas não é exibido na tela do evento

 

TargetTrustID

ttid

ID numérico representando a função do usuário que era o destino do evento

Pode ser pesquisado, mas não é exibido na tela do evento

 

TargetTrustDomain

ttd

Pode ser pesquisado, mas não é exibido na tela do evento

 

EffectiveUserName

euname

O nome do usuário que o InitUser está utilizando (root usando su, por exemplo); segue o Nome de usuário do Iniciador (ID de Usuário do Iniciador) como na tela do evento detalhado

 

X

EffectiveUserID

euid

O ID numérico do usuário que o InitUser está utilizando (root usando su, por exemplo)

 

X

ObserverHostName

sn

O nome de host do computador que encaminhou o evento para o sistema de gerenciamento de eventos de informações de segurança (por exemplo, o nome de host de um servidor syslog)

Pode ser pesquisado, mas não é exibido na tela do evento

 

ObserverHostDomain

obsdom

O domínio do computador que encaminhou o evento para o sistema de gerenciamento de eventos de informações de segurança (por exemplo, o domínio de um servidor syslog)

Pode ser pesquisado, mas não é exibido na tela do evento

 

ObserverIP

obsip

O endereço IP do computador que encaminhou o evento para o sistema de gerenciamento de eventos de informações de segurança (por exemplo, o endereço IP de um servidor syslog)

Pode ser pesquisado, mas não é exibido na tela do evento

 

ReporterHostName

rn

O nome de host do computador que reportou o evento a um observador

Pode ser pesquisado, mas não é exibido na tela do evento

 

 

ReporterHostDomain

repdom

O domínio do computador que reportou o evento a um observador

Pode ser pesquisado, mas não é exibido na tela do evento

 

 

ReporterIP

repip

O endereço IP do computador que reportou o evento a um observador

Pode ser pesquisado, mas não é exibido na tela do evento

 

 

Sensortype

st

O designador de caractere único para o tipo de sensor (N=rede, H=host, O=sistema operacional, A e I=eventos de auditoria do Identity Audit, P=eventos de desempenho do Identity Audit).

Pode ser pesquisado, mas não é exibido na tela do evento

 

 

DataName

pt

Nome do objeto de dados reportado no evento (por exemplo, o nome do arquivo ou o nome da tabela do banco de dados)

 

X

DataContext

rv36

Container do objeto de dados FileName (por exemplo, um diretório para um arquivo ou uma instância de banco de dados para uma tabela de banco de dados)

 

X

TaxonomyLevel1

rv50

Classificação de destino para evento. Exibidas abaixo do nome do evento no formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

TaxonomyLevel2

rv51

Classificação de subdestino para o evento. Exibidas abaixo do nome do evento no formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

TaxonomyLevel3

rv52

Informações de ação para o evento. Exibidas abaixo do nome do evento no formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

TaxonomyLevel4

rv53

Informações de detalhe para o evento. Exibidas abaixo do nome do evento no formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

Alguns campos possuem tokens. Incluir tokens nos campos permite a pesquisa de uma única palavra no campo, sem a necessidade de usar um caractere curinga. Os campos recebem tokens com base nos espaços e em outros caracteres especiais. Para esses campos, artigos como “um” ou “o” são removidos do índice de pesquisa.